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(57) Abstract: The invention relates to a method for securely transmitting data, 
particularly between a tachograph (51) of a goods-carrying vehicle and memory 
cards (50). A first node (TI) comprises a memory (6, 22) with entries (31-35) con- 
taining identifiers (4) and security certificates (Cert) of second nodes (T2). Methods 
for securely transmitting data are increasingly gaining importance and are often ac- 
companied by a high amount of computing- As a result, the aim of the invention 
is 10 reduce the computing time without forfeiting security. To this end, the first 
node (Tl) obtains an identifier (4) from the second node (T2) and compares it with 
stored identifiers (4). In the event of a matching identifier (4), a security certifi- 
cate (Cert) assigned to this identifier (4) is provided as a basis for a subsequent data 
transmission, and in the event the identifier (4) does not match, a security certificate 
verification is carried out. 

(57) Zusiimmcnfassung: Die Erfindung betrifft ein Verfahren zur sicheren 
Daieniibertragung, insbesondere zwischen einem Fahrtschieiber (51) eines 
Nuizfahrzeuges und Speicherkarten (50), wobei ein erster Teilnehmer (Tl) 
einen Speicher (6, 22) mil Einiragen (31-35) umfassend Kennungen (4) und 
Sicherheiiszertifikate (Cert) zweiter Teilnehmer (T2) aufweist. Verfahren zur 
sicheren Dateniibertragung gewinnen zunehmend an Bedeutung und gehen 
haufig mit hohem Rechenaufwand einher. • Daher hat es sich die Erfindung 
zur Aufgabe gemacht, die Rechenzeit hierfiir ohne SicherheitseinbuBe zu 
reduzieren. Es wird vorgeschlagen, dass der erste Teilnehmer (Tl) von dem 
zweiien Teilnehmer (V2) eine Kennung (4) einholt und mit gespeicherten 
Kennungen (4) vergleicht. Bei iibereinstiramender Kennung (4) isi ein dieser 
Kennung (4) zugeordneies Sicherheilszertifikal (Cert) Basis fiir eine nachfolgende 
Daieniiberiragung und wenn keine uber einstimmende Kennung (4) vorUegi wird 
eine SicherheiLszertifikatsverifikation durchfiihn. 
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GH, GM, KE, LS, MW, MZ, NA, SD, SL, SZ, TZ, UG, 
ZM, ZW), eurasisches (AM, AZ, BY, KG, KZ, MD, RU, 
TJ, TM), europaisches (AT, BE, BG, CH, CY, CZ, DE, DK, 
EE, ES, n, PR, GB, GR, HU, IE, IS, IT, LT, LU, MC, NL. 
PL, PT, RO, SE, SI, SK, TR), OAPI (BF, BJ, CF, CG, CI, 
CM, OA, ON, GQ, GW. ML, MR, NE, SN, TD, TG). 
VerofTentlicht: 

— mit intemationalem Recherckenbericht 



Zur Erkldrung der Zweibuchstaben- Codes und der anderen Ab- 
kurzungen wird auf die Erkldrungen ("Guidance Notes on Co- 
des and Abbreviations") am Anfangjeder reguldren Ausgabe der 
PCT-Gazette verwiesen. 
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Beschreibung 

Verfaihren zur sicheren Datenubertragung 

5 Die Erfindung betrifft ein Verfahren zur sicheren Datenuber- 
tragung zwischen einem ersten Teilnehitier und zweiten Teilneh- 
mern, insbesondere einem Fahrtschreiber eines Nutzfahrzeuges 
und Speicherkarten mit jeweils mindestens einem Datenspei- 
Cher, wobei der erste Teilnehxner einen Speicher aufweist, in 
10 welchem eine bestiinmte Anzahl Eintrage gespeichert sind, je- 
weils umfassend Kennungen und zu diesem zugeordnete Sicher- 
heitszertifikate zweiter Teilnehmer mit einer Erfassungszeit 
des Sicherheitszertifikates. 

■ 15 Verfahren zur sicheren Datenubertragung gewinnen zunehmend an 
Bedeutung und existieren bereits in umfassender Vielfalt im 
Bereich von Coraputernetzwerken. Im weiteren Sinne vergleich- 
bar mit modernen Computernetzwerken ist auch das Zusammenwir- 
ken bzw. die sichere Datenubertragung eines digitalen Fahrt- 

20 schreibers mit einer Speicherkarte gema^ der EG-Verordnung 
3821/85. Zur Gewahrleistung der Einhaltung bestehender Sozi- 
alvorschriften und Gesetze am Arbeitsplatz des Nutzfahrzeuges 
ist die Erhohung der Manipulations sicherheit von besonderer 
Bedeutung. Daher werden strengste Maftstabe an die Sicherheit 

25 der Datenubertragung gelegt. Hierzu ist ein System von Si- 
cherheitszertifikaten umfassend verschiedene offentliche und 
private Schliissel entwickelt worden,. welches im Einzelnen der 
vorgeriannten Verordnung entnehmbar ist. Bevor ein erster 
Teilnehmer bzw. der Fahrtschreiber mit einem zweiten Teilneh- 

30 mer bzw. einer Speicherkarte in einen Datenaustausch eintre- 
ten kann, ist unter anderem ein sehr aufwendiges Verfahren 
der Sicherheitszertifikatsverif ikation auf beiden Seiten der 
Teilnehmer schaft erf orderlich. Der Urafang dieses Vorgangs und 
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die eingeschrSnkten Moglichkeiten der Datenverarbeitung in 
dem kleinformatigen Gerat machen besondere Vorkehrungen er- 
forderlich, damit die Zugrif f szeiten bei akzeptablem Kosten- 
aufwand in einem verniinftigen Rahmen bleiben. 

5 

Daher hat es sich die Erfindung zur Aufgabe gemacht,^ den ins- 
besondere zeitlichen Aufwand der Sicherheitszertifikatsveri- 
fikationen fur die Teilnehmer des Datenaustauschs ohne Einbu- 
fien der Mahipulationssicherheit zu reduzieren. 

10 

Zur Losung der Aufgabe wird erf indungsgemaJi ein Verfahren der 
eingangs genannten Art vorgeschlagen^ bei welqhem vorgesehen 
ist, dass der erste Teilnehmer von dem zweiten Teilnehmer ei- 
ne Kennung einholt, der erste Teilnehmer diese Kennung mit 

15 den in dera Speicher gespeicherten Kennungen vergleicht, wenn 
eine ubereinstimmende Kennung in dem Speicher gespeichert 
ist, dass dieser Kennung zugeordnete Sicherheitszertif ikat 
Basis fiir eine nachfolgende Datenubertragung ist und die Er- 
fassungszeit des Sicherheitszertif ikates auf eine aktuelle 

20 Systemzeit aktualisiert wird, wenn keine iibereinstiramende 

Kennung in dem Speicher gespeichert ist, der erste Teilnehmer 
eine Sicherheitszertif ikatsverifikation mit dem zweiten Teil- 
nehmer durchfiihrt und bei Verif izierung einen dem verifizier- 
ten Sicherheitszertif ikat entsprechenden Eintrag mit aktuel- 

25 ler Erfassungszeit in dem Speicher speichert, wobei der Ein- 
trag mit dem altesten Erfassungsdatura durch diesen neuen Ein- 
trag ersetzt wird, wenn die bestimrate Anzahl an Eintragen 
schon erreicht war. 

30 Ein entscheidender Vorteil des erf indungsgemafien Verfahrens 
liegt in der Einsparung des sehr zeitauf wendigen Vorganges 
der Sicherheitszertif ikatsverifikation fiir den Fall, dass dem 
ersten Teilnehmer der zweite Teilnehmer auf Grund eines in 

2 
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der Vergangenheit bereits durchgef iihrten Verif ikationsvorgan- 
ges bekannt ist. Aus Speicherplatzgrunden, insbesondere bei 
der Ausbildung des ersten Teilnehmers als Fahrtschreiber und 
des zweiten Teilnehmers als Speicherkarte, ist eine Begren- 
5 zving der Anzahl der Eintrage umfassend die Sicherheitszerti- 
fikate und die Erfassungszeit der Sicherheitszertifikate an- 
derer Teilnehmer begrenzt. Uin trotz dieser Begrenzung das 
"Erinnerungsvermogen" des ersten Teilnehmers an zweite Teil- 
nehmer auf eine Hochstanzahl an zweiten Teilnehmern zu opti- 

10 mieren, sieht das erf indungsgemafie Verfahren nicht eine ein- 
fache Ringspeicherung in chronologischer Abfolge des Auftre- 
tens der zweiten Teilnehmer vor, so dass stets beispielsweise 
der alteste Eintrag mit dem neuesten Eintrag iiberschrieben 
wird, wenn eine speicherplatzbedingte Hochstzahl an Eintragen 

15 schon erreicht war. Statt dessen wird zunachst der Inhalt des 
Speichers des ersten Teilnehmers daraufhin uberpruft, ob be- 
reits ein Eintrag mit identischer Kennung zu derjenigen des 
neuen Teilnehmers existiert, der im bejahenden Fall ledigllch 
hinsichtlich des Erf assungsdatums und, gegebenenf alls hin- 

20 sichtlich des Ablaufs der Giiltigkeit des Sicherheitszertif i- 
kates aktualisiert wird- Auf diese Weise sind dem ersten 
Teilnehmer r vorausgesetzt es wurde in der Vergangenheit be- 
reits eine die bestimmte Anzahl an Speichereintragen iiber- 
steigende Anzahl unterschiedlicher zweiter Teilnehmer verifi- 

25 ziert, stets die bestimmten Anzahl an zweiten Teilnehmern be- 
kannt. Auf diese Weise kann die bestimmte Anzahl entsprechend 
den Gepf logenheiten beispielsweise eines Fuhrparks an die An- 
zahl der dort tatigen oder ublicherweise mit dem Nutzfahrzeug 
arbeitenden unterschiedlichen Karteninhaber angepasst werden 

30 und so eine optimale Nutzung des Speichers des ersten Teil- 
nehmers erreicht werden. Die Zugrif f szeiten bleiben vorteil- 
haft kurz, da auch bei wiederholtem Trennen und Verbinden des 
ersten Teilnehmers und des zweiten Teilnehmers stets nur die 

3 
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der Identitat des ersten Teilnehmers zugeordneten Eintrage 
verandert bzw, aktualisiert werden. 

Mit Vorteil ist die zur Identif izierung ubermittelte Kennung 
5 der Teilnehmer ein offentlicher Schliissel eines RSA-Verfah- 
rens (Verfahren zum Ver- und Entschliisseln nach Ronald L. Ri- 
vest, Adi Scharair und Leonard Adleman) des zweiten Teilneh- 
mers ist. Dieser offentliche Schliissel kann einerseits einer 
nachtraglichen Datenubermittlung dienen und ist andererseits 
10 eindeutig. 

Aus Griinden der Ersparnis von Rechenaufwand sieht eine vor- 
teilhafte Weiterbildung vor, dass eine nachfolgende Daten- 
iibertragung mittels einer syrainetrischen Verschliisselung, ins- 

15 besondere eines Triple-DES-Verf ahrens erfolgt, wobei nach er- 
folgter Verif izierung der Sicherheitszertifikate beide Teil- 
nehmer eine Zufallszahl verschliisselt an den anderen Teilneh- 
mer ubersenden und beide Teilnehmer jeweils unabhangig von- 
einander mittels der belden Zufallszahlen einen geraeinsamen 

20 Schliissel zur Dateniibertragung unter Benutzung desselben Al- 
gorithmus bestimmen. Im Wesentlichen bleibt hierbei die Si- 
cherheit des asyrametrischen Verschliisselungsverfahrens erhal- 
ten, da die Generierung des Sitzungsschliissels fiir das sym- 
metrische Verfahren nur demjenigen moglich ist, der zuvor 

25 mittels des asymmetrischen Verfahrens in der Lage war, mit 
dem anderen Teilnehmer zu kommunizieren bzw. die wechselsei- 
tig iibermittelte Zufallszahl zu dechif f rieren. 

Eine wichtige Position hinsichtlich der Manipulations sicher- 
30 heit iibernimmt gemafi dem Verfahren nach der Erfindung die Ve- 
rifikation der Sicherheitszertifikate durch den jeweils ande- 
ren Teilnehmer, weshalb diese zweckmaBig folgende n Schritte 
umfasst : 

4 
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In einem ersten Schritt ubersendet der zweite Teilnehraer dem 
ersten Teilnehmer ein erstes Sicherheitszertif ikat, welches 
der zweite Teilnehmer unter Benutzung eines ersten offentli- 
chen Schliissels einer Verif izierung unter zieht .und hierbei 
5 einen zweiten offentlichen Schliissel ermittelt- Resultiert 
die Verif izierung in Authentizitat des ubermittelten Sicher- 
heitszertif ikates, wird der erste Schritt unter Verwendung 
eines weiteren liber sendeten Sicherheitszertif ikates und des 
im vorhergehenden Schritt ermittelten zweiten offentlichen 

10 Schliissels anstelle des ersten offentlichen Schliissels (n-1)- 
fach wiederholt, wobei sich stets ein neuer zweiter offentli- 
cher Schliissel und ein Verif izierungsergebnis ergibt, Diese 
verschachtelte Verifizierung kann zweckmaBig 3 (=n) -fach wie- 
derholt werden, was eine sehr hohe Manipulationssicherheit 

15 zum Ergebnis hat- 



20 



In der Folge ist die Erfindung anhand eines speziellen Aus- 
fiihrungsbeispiels unter Bezugnahme auf Zeichnungen zur Ver- 
deutlichung naher .J:?eschrieben. Es zeigen: 

Figiar 1 eine scheraatische Darstellung des erf indungsgemafien 
Verfahrens in Form eines Flussdiagramms, 



Figur 2 ein Flussdiagramm des Vorgangs der Sicherheitszer- 
25 tifikats verif izierung, 

Figur 3 Eintrage bekannter zweiter Teilnehmer in einem 
Speicher eines ersten Teilnehmers . 

30 Das Flussdiagramm der Figur 1 zeigt beispielhaft wesentliche 
Ziige des Ablaufes eines erf indungsgemafien Verfahrens an einem 
' Datenaustausch zwischen einem digitalen Fahrtschreiber 51 und 
einer Speicherkarte 50. 



5 
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Das einleitende Ereignis 1 besteht in der Aufnahme 2 der 
Speicherkarte 50 inittels des Fahrtschreibers 51. Im Rahmen 
der Aufnahme 2 der Speicherkarte 50, welche im erfindungsge- 
maJien Sinne ein zweiter Teilnehmer T2 ist^ stellt der Fahrt- 
5 schreiber, welcher im erf indungsgemaJien Sinne ein erster 
Teilnehmer Tl ist, eine leitende Verbindung zu einem Daten- 
speicher der Speicherkarte 50 her, mittels derer Datensignale 
iibertragbar sind. 

10 In einem zweiten Schritt 3 holt der Fahrtschreiber 51 als 
erster Teilnehmer Tl von der Speicherkarte 50 als zweiten 
Teilnehmer T2 eine Kennung 4 ein und iiberpriaft in einem drit- 
ten Schritt 5, ob die Kennung 4 bereits aus einem vorherge- 
henden Vorgang bekannt ist- Hierzu greift der Fahrtschrei- 

15 ber 51 auf einen integrierten Speicher 6 zu, in welchem Ein- 
trage mit in Figur 3 naher beschriebenem Umfang abgelegt 
sind. 

Ist im Speicher 6 kein mit der Kennung 4 der Speicherkarte 50 
20 abgelegter Eintrag vorhanden, geht das erf indungsgeraaBe Ver- 
fahren zu einer wechselseitigen Sicherheitszertif ikatsverif i- 
kation 7 iiber. Hierbei werden wahrend einer ersten Sicher- 
heitszertif ikatsverif ikation Sicherheitszertif ikate der Spei- 
cherkarte 50 mittels des Fahrtschreibers auf Giiltigkeit, Be- 
25 kanntheit und Authentizitat gemaJ& Figur 2 uberpriift, und an- 
schliefiend findet eine entsprechende zweite Uberpriifung 9 des 
Fahrtschreibers 51 seitens der Speicherkarte 50 statt. 

Die Schritte 8 und 9 werden ubersprungen, wenn im Schritt 5 
30 der zweite Teilnehmer T2 bzw. die Speicherkarte 50 seitens 
des ersten Teilnehmers Tl als bekannt identif iziert wurde. 
Ist das endgiiltige Ergebnis einer Sicherheitszertif ikatsveri- 
fikation gemaii der Schritt 8, 9 die Nicht-Verif ikation, wird 
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die Speicherkarte 50 bzw. der erste Teilnehmer Tl in einem 
Schritt 10 ausgegeben bzw. abgewiesen. 

Bei erfolgreicher wechselseitiger Verifikation bzw. bekannter 
5 Kennung 4 folgt in einem Schritt 11 ein wechselseitiger Aus- 
tausch einer Zufallszahl in RSA-verschliisselter Form, mittels 
derer in einem Schritt 12 ein gemeinsamer Sitzungsschliis- 
sel 60 von beiden Teilnehmern Tl, T2 unabhangig generiert 
wird, der im nachf olgenden Schritt 13 der symmetrischen Ver- 
10 schl\isselung iibertragener Daten dient. 

In Figur 2 ist die Sicherheitszertif ikatsverif ikation gemafi 
der Schritte 8, 9 in Figur 1 im Detail dargestellt. In einem 
ersten Schritt 21 holt der zweite Teilnehmer T2 von dem ers- 

15 ten Teilnehmer Tl ein Sicherheitszertif ikat Cert. Lev. 1 der 
ersten Ebene ein.. Anhand von Eintragen eines Speichers 22 
wird in einem zweiten Schritt 23 uberpriift, ob der offentli- 
che Schlussel oder eine Kennung des Sicherheitszertifikats 
Cert^Lev.l der ersten Ebene bereits bekannt und nach giiltig 

20 ist. Fur den Fall der Gultigkeit und Bekanntheit geht das 
dargestellt Verfahren direkt zu einem Schritt 24 iiber, wah- 
renddessen der erste Teilnehmer Tl das Sicherheitszertif ikat 
des zweiten Teilnehmers T2 in gleicher^^ nicht mehr gesondert 
dargestellter Weise einer ttberpriifung unterzieht. Ist der of- 

25 fentliche Schlussel des Sicherheitszertifikats Cert. Lev. 1 der 
Ebene 1 in dem Schritt 23 als nicht bekannt identifiziert 
worden, holt der zweite Teilnehmer T2 von dem ersten Teilneh- 
mer Tl ein Sicherheitszertif ikat Cert. Lev. 2 der Ebene 2 in 
einem nachf olgenden Schritt 25 ein. Entsprechend dem Schritt 

30 23 folgt in analoger Weise ein Schritt 26, wahrenddessen der 
zweite Teilnehmer T2 unter Zugriff auf den Speicher 22 die • 
Bekanntheit und Giiltfigkeit eines offentlichen Schliissels des 
Sicherheitszertifikats Cert -Lev. 2 der Ebene 2 uberpruft. Ist 
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das Ergebnis der Uberprlifung Bestatigung der Bekanntheit \ind 
Gultigkeit, geht das Verfahren direkt zu einem Verifizie- 
rungsschritt 27 uber, wahrenddessen das Sicherheitszertif i- 
kat Cert. Lev. 1 Ebene 1 einer Verif izierung unterzogen wird. 
5 1st der offentliche Schlussel des Sicherheitszertif ikats 
Cert. Lev. 2 der Ebene 2 nicht bekannt und giiltig, folgt zu- 
nachst die Verif izierung des Sicherheitszertif ikats 
Cert. Lev. 2 der Ebene 2 in einem Schritt 28, bevor die Verif i- 
zierung gemai3 Schritt 27 eingeleitet wird. Haben die Uberprii- 
10 fungen der Schritte 27 und 28 Verif izierung der Sicherheits- 
zertif ikate Cert.Lev.1,2 der Ebene 1 und Ebene 2 zum Ergeb- 
nis, geht das Verfahren zum Schritt 24 uber, welches eine be- 
ziiglich der Teilnehmer Tl und T2 umgekehrte Sicherheitszerti- 
fikatsverifikation einleitet. 

15 

Die Figur 3 zeigt den Inhalt des Speichers 22 bzw. 6 in Ab- 
hangigkeit eines Kommunikationseintrittes verschiedener zwei- 
ter Teilnehmer T2 rait einem ersten Teilnehmer Tl. Die Gr6Be 
des Speichers 6, 22 ist auf funf EintrageL..31-35 begrenzt. Es 

20 sind sechs aufeinander folgende Zustande 41-46 in Figur 3 ab- 
gebildet, die jeweils die Eintrage 31-34 nach bestimmten Er- 
eignissen wiedergeben. Die dargestellten Eintrage 31-34 um- 
fassen ein Datura 51, dessen Wert in hexadezimaler Schreibwei- 
se als Wert in Sekunden seit dem 1.1.1970 abgelegt ist. Dane- 

25 ben umfassen die Eintrage 31-35 einen Sicherheitszertifikats- 
inhalt 52, der einen Ablauf EOV der Giiltigkeit des Sicher- 
heitszertifikats und eine Referenz CHR des Sicherheitszerti- 
fikatinhabers larafasst. Daneben urafassen die Eintrage 31-35 
auch die Erfassungszeit 53. 

30 

Der Zustand 41 zeigt den Ausgangszustand, der charakterisiert 
ist durch neutrale Eintrage. 

8 
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Der Zustand 42 liegt vor^ nachdem fiinf verschiedene zweite 
Teilnehitier T2 bzw. Speicherkarten 50 mit dem Teilnehraer Tl 
bzw. einem Fahrtschreiber 51 in dateniibertragenden Kontakt 
getreten sind. Demzufolge ist jeder Eintrag 31-35 nun gekenn- 
5 zeichnet durch ein anderes Datum, einen unterschiedlichen Si- 
cherheitszertifikatsinhalt 52 und eine andere Erfassungs- 
zeit 53. 

Der Zustand 43 stellt sich ein, nachdem ein zweiter Teilneh-- 
10 mer urspriinglich charakterisiert durch den Eintrag 33 zu ei- 
nem spateren Zeitpunkt nochmals mit dem ersten Teilnehmer Tl 
in einen dateniibertragenden Kontakt getreten ist. Demzufolge 
hat sich die Erfassungszeit 53 des Eintrages 33 aktualisiert. 

15 Der Zustand 44 stellt sich ein, wenn bereits eine der Ober- 
grenze an Eintragen 31-35 entsprechende Anzahl jeweils auf 
Grund einer Verbindung mit einem zweiten Teilnehmer T2 de- 
neutralisiert worden sind und ein weiterer, bisher noch nicht 
bekannter zweiter Teilnehmer T2 mit dem ersten Teilnehmer Tl 

20 in einen dateniibertragenden Kontakt tritt. Der gemafi der Er- 
fassungszeit 53 alteste Eintrag 31 ist erfindungsgemafi mit 
einem neuen Eintrag 36 liber schrieben. 

In analoger Weise wird der Eintrag 32 in Zustand 45 von einem 
25 Eintrag 37 ersetzt. 

Zustand 46 stellt sich ein, wenn ein mit dem urspriinglichen 
Eintrag 31 korrespondierender zweiter Teilnehmer T2 nochmals 
mit dem ersten Teilnehmer Tl eine dateniibertragende Verbin- 
30 dung eingeht. Auch hier wird der nunmehr alteste Eintrag 34 
von dem Eintrag 31, der einem in Folge des Uberschriebs aus 
Zustand 44 unbekannten zweiten Teilnehmer T2 zugeordnet ist/ 
ersetzt. 
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Patentanspriiche 

1. Verfahren zur sicheren Datenubertragung zwischen einem 
ersten Teilnehmer (Tl) und zweiten Teilnehmern (T2) , ins- 
besondere zwischen einem Fahrtschreiber (51) eines Nutz- 
5 fahrzeuges und Speicherkarten (50) mit jeweils mindestens 

einem Datenspeicher, wobei der erste Teilnehmer (Tl) ei- 
nen Speicher (6, 22) aufweist, in welchem eine bestimmte 
Anzahl Eintrage (31-35) gespeichert sind, jeweils umfas- 
send Kennungen (4) und zu diesen zugeordnete Sicherheits- 

10 zertifikate (Cert) zweiter Teilnehmer (T2) mit einer Er- 

fassungszeit (53) des Sicherheitszertif ikates (Cert) , 
welches Verfahren umfasst, dass der erste Teilnehmer (Tl) 
von dem zweiten Teilnehmer (T2) eine Kennung (4) einholt^ 
der erste Teilnehmer (Tl) diese Kennung (4) mit den in 

15 dem Speicher (6, 22) gespeicherten Kennungen (4) ver- 

gleicht, 

wenn eine iibereinstimmende Kennung (4) in dem Spei- 
cher (6, ^22) gespeichert ist, das dieser Kennung (4) zxx- 
geordnete Sicherheitszertif ikat (Cert) Basis fiir eine 
20 nachfolgende Datenubertragung ist und die Erfassungs- 

zeit (53) des Sicherheitszertif ikates (Cert) auf eine ak- 
tuelle Systemzeit aktualisiert wird^ 

wenn keine iibereinstimmende Kennung (4) in dem Spei- 
cher {6, 22) gespeichert ist, der erste Teilnehmer (Tl) 

25 eine Sicherheitszertifikatsverif ikation mit dem zweiten 

Teilnehmer (T2) durchflihrt und bei Verif izierung einen 
dem verif izierten Sicherheitszertif ikat (Cert) entspre- 
chenden Eintrag (31-35) mit aktueller Erf assungszeit (53) 
in dem Speicher (6, 22) speichert, wobei der Eintrag (31- 

30 35) mit dem altesten Erfassungsdatum durch diesen neuen 

Eintrag (31-35) ersetzt v^ird, wenn die bestimmte Anzahl 
an Eintragen (31-35) schon erreicht war. 
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2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, dass die Kennung (4) ein offentlicher 
Schlussel eines RSA-Verfahrens des zweiten Teilneh- 
mers (T2) ist, 

5 3. Verfahren nach Anspruch 1, dadurch gekenn- 

zeichnet r dass eine nachfolgende Datenubertragung 
TDES-verschliisselt erfolgt, wobei nach erfolgter Verifi- 
zierung der Sicherheitszertifikate (Cert) beide Teilneh- 
mer (Tl, T2) eine Zufallszahl (RND) verschliisselt an den 
10 anderen Teilnehmer (Tl, T2) iibersenden und beide Teilneh- 

mer (Tl, T2) jeweils unabhangig voneinarider mittels der 
beiden Zufallszahlen (RND) einen gemeinsamen Schliis- 
sel (80) zur Datenubertragung unter Benutzung des selben 
Algorithmus bestimmen. 

15 4. Verfahren nach Anspruch 1;. dadurch gekenn- 
zeichnet, dass die Verifikation des Sicherheits- 
zertifikats (Cert) des ersten Teilnehmer^ (Tl) durch den 
zweiten Teilnehmer (T2) und uragekehrt folgende n Schritte 

umfasst: 

20 in einem ersten Schritt tibersendet der zweite Teilneh- 

mer (T2) dem ersten Teilnehmer (Tl) ein erstes. Sicher- 
heitszertifikat (Cert .Lev. 1) , welches der zweite Teilneh- 
mer (T2) unter Benutzung eines ersten offentlichen 
Schliissels einer Verif izierung unterzieht und hierbei ei- 

25 nen zweiten offentlichen Schlussel ermittelt, resultiert 

die Verif izierung in Authentizitat, 

wird der erste Schritt unter Verwendung eines weiteren 
iibersendeten Sicherheitszertifikats (Cert. Lev. 1, 2) und 
des im vorhergehenden Schritt ermittelten zweiten offent- 
30 lichen Schlussels an Stelle des ersten offentlichen 

Schliissels (n-l)~fach v/iederholt, wobei sich stets ein 



11 



wo 2006/013121 



PCT/EP2005/052530 



neuer zweiter offentlicher Schlussel und ein Verifizie- 
rungsergebnis ergibt. 

5. Verfahren hach Anspruch 1, dadurch gekenn- 
zeichnet , dass n=3 ist. 
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